【出處:台灣電腦緊急應變小組 TWCert】

TWCERT/CC匯整惡意軟體 Amadey、Emotet、Koi Loader、LokiBot、Lumma、Purplefox
、Raccoon Stealer、Redline、SocGholish、Socks5Systemz、Ursnif、VenomRAT、XLoader及TWCERT
-IoC 觀測(至12/08)受駭偵測指標(IoC)情資(詳如附件)，可做為貴單位強化資安防護之參考。
Ama
dey：一種用於蒐集系統資訊的木馬程式，經常透過釣魚郵件或 SmokeLoader 傳播。它會與遠端伺服
器進行通信，定期傳送感染者的系統資訊。
Emotet：其散布惡意程式的方式以寄送釣魚郵件為主，
郵件主旨從過往如發票、轉帳資訊等金融訊息，逐漸發展成結合時事，透過使用者好奇或恐慌的心理
，成功達成感染主機之目的。
KOI Loader: 是一種被歸類為資訊竊取工具的惡意軟體下載器/投放器
。它被設計用來滲透受感染的系統、下載額外的惡意載荷，並竊取使用者的敏感資訊。
Lokibot: 利
用木馬程式來竊取敏感資訊，例如使用者名稱、密碼、加密貨幣錢包以及其他憑證資料。
Lumma: 又
稱為LummaC2，是一種廣為人知的惡意軟體，首次出現於2022年。Lumma Stealer的目標包括瀏覽器儲
存的密碼、加密貨幣錢包以及其他有價值的資訊。
Purplefox：是一種結合了後門程式和rootkit的
惡意軟體，曾在多起攻擊行動中被用來投放各種加密貨幣挖礦程式、勒索軟體和間諜軟體。
Raccoon
Stealer: 用於從受感染主機竊取敏感信息，該惡意軟體會從各類應用程式中竊取資料，包括登入憑
證、信用卡資訊、歷史瀏覽記錄、Cookie 以及加密貨幣錢包帳戶等。
Redline： 一款以 C# 編寫的
惡意軟體，它會從受感染的電腦中竊取儲存於瀏覽器、VPN、和線上通訊工具的憑證與個人資訊，並
且擁有下載遠端檔案的能力。
SocGholish: 利用社交工程技術，透惡意的 JavaScript 框架偽裝成
系統或瀏覽器的更新訊息，以引誘使用者下載惡意程式。
Socks5Systemz：是一種殭屍網路，利用其
感染能力建立一個由受害裝置組成的網路。這些裝置被用來轉發惡意流量。
Ursnif：用於從受感染
主機竊取敏感信息，也可以充當惡意程式下載工具。此惡意軟體通常藉由惡意電子郵件或漏洞攻擊包
（exploit kit）傳播。
VenomRAT：已在實際環境中觀察到使用VHD檔案的VenomRat惡意軟體攻擊活
動。該攻擊從一封釣魚電子郵件開始，郵件中附有偽裝成採購訂單的壓縮檔附件，用以誘騙使用者開
啟。
XLoader：是一種自2016年起便被使用的資訊竊取型惡意軟體。它曾被稱為Formbook，是一種惡
意軟體即服務，以從網頁瀏覽器、電子郵件客戶端及檔案傳輸協定（FTP）應用程式中竊取資料而聞
名。
TWCERT-IoC : 聯盟會員分享或接收之外部情資與Virus Check分析可疑檔案，可能包含近期攻
擊事件所發現之惡意網域、惡意 IP Address、及惡意程式(MD5、SHA-1及SHA-256)等資訊。
*若貴
公司因服務之必要無法將有風險之IP列入黑名單, 為避免影響正常服務, 可將該IP列為觀察名單，監
控與此IP連線的設備與流量等防護措施, 以降低資安風險。
*如貴單位有發現可疑的攻擊/探嗅活動(
log)、攻擊資訊(如IoC, IoA)或惡意程式樣本，歡迎提供給TWCERT/CC，我們將去識別化後通報給相
關CERT或資安單位，以達到資安聯防的效果。
◎建議措施:
請參考附件之名單做相關防範措施。
TLP: AMBER TWCERT-TWISAC-202512-0007
◎相關IOC資訊:
◎備註:
◎參考資料:
無